UTM/APP/Nameserver-DNS Rebinding Prevention v11.7: Unterschied zwischen den Versionen

Aktuelle Version vom 25. Oktober 2022, 16:30 Uhr

Informationen

Letzte Anpassung zur Version: 11.7
Bemerkung: Neue Funktion in der UTM
Vorherige Versionen: 11.6.11

Einleitung

Die DNS Rebinding Prevention ist ein neues Feature UTM. In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.

DNS Rebinding Attacke und Prevention

Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen. Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.

Securepoint Rebinding Prevention HTTPS

Aktivierung

Über die Navigationsleiste, Anwendungen -> Nameserver -> DNS Rebinding Prevention wird die Anwendung ausgewählt und kann aktiviert werden

In den Werkseinstellungen werden alle private IP-Adressen (Klasse A,B und C) geblockt.

Die bereits konfigurierten DNS Einträge werden standartmäßig als geschützer Alias aktiviert.

Nameserver DNS Rebinding Prevention 11.7 01.jpg

Der Modus der DNS Rebinding Prevention kann von Automatisch in Benutzerdefiniert geändert werden, sodass eigene ausgewählte Adressen geschützt werden können.

Nameserver DNS Rebinding Prevention 11.7 02.jpg

Wenn die bereits konfigurierten Aliase vom Schutz ausgenommen werden sollen, können diese deaktiviert werden.

@@ Zeile 1: / Zeile 1: @@
+{{DISPLAYTITLE:Securepoint DNS Rebinding Prevention}}
 == Informationen ==
-Letze Anpassung zur Version: '''11.7'''
+Letzte Anpassung zur Version: '''11.7'''
 <br>
-Bemerkung: Neu Artikel DNS Rebinding Pervention
+Bemerkung: Neue Funktion in der UTM
+<br>
+Vorherige Versionen: [[UTM/APP/Nameserver_11.6 | 11.6.11]]
 <br>
 ==Einleitung==
-Die DNS Rebinding Prevention ist ein neues Feature UTM.
+Die DNS Rebinding Prevention ist ein neues Feature UTM. In diesem Artikel soll es darum gehen zu verstehen wie ein solcher Angriff funktioniert, und wie die Prevention solche Angriffe verhindert.
-Dieser neue DNS Filter bietet neue Möglichkeiten bösartige DNS Antworten zu blockieren.
-In diesem Artikel soll es darum gehen zu verstehen wie ein solche Angriff funktioniert und wie die die Prevention solche Angriffe verhindert.
-==DNS Rebind Angriff==
+==DNS Rebinding Attacke und Prevention==
-Bei diesem Angriff wird versucht du manipulation eine Clients Zugriff auf Interne Ressourcen zu bekommen.
+Bei der Art von Angriff wird versucht, durch gefälschte DNS Antworten Zugriff auf interne Ressourcen zu erlangen.
+Der Angreifer benötigt dazu nicht mehr als eine Domain mit Schadcode und einen Nameserver, der sämtliche DNS Anfragen für die Angreiferseite beantwortet.
+{{#ev:youtube|https://www.youtube.com/watch?v=ryZa72mw0Jg|900|center|Securepoint Rebinding Prevention HTTPS}}
+===Aktivierung===
+Über die Navigationsleiste, '''Anwendungen''' -> '''Nameserver''' -> '''DNS Rebinding Prevention''' wird die Anwendung ausgewählt und kann aktiviert werden
+<div>
+<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
+<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">In den Werkseinstellungen werden alle private IP-Adressen (Klasse A,B und C) geblockt.</span></div>
+</div>
+<div style="clear: both;"></div>
+<div>
+<div style="display: flex;padding-right:10px;float:left;"> [[Datei:alert-yellow.png]] </div>
+<div style="display: flex;"><span style="background-color: #ffc926;padding:10px;border-radius:4px;font-weight:bold;">Die bereits konfigurierten DNS Einträge werden standartmäßig als geschützer Alias aktiviert.</span></div>
+</div>
+<div style="clear: both;"></div>
-=== Beispiel Angriff: ===
+<br>
+[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_01.jpg|400px|right]]
-Client möchtet Attacker.ru aufrufen
+<br>
+Der Modus der DNS Rebinding Prevention kann von Automatisch in Benutzerdefiniert geändert werden, sodass eigene ausgewählte Adressen geschützt werden können.
-Eine DNS Anfrage geht an den Angreifer DNS
+<div style="clear: both;"></div>
+[[Datei:nameserver_DNS_Rebinding_Prevention_11.7_02.jpg|400px|right]]
-Der DNS Server Antwortet mit 222.233.244.69 und einer kurzen TTL
+Wenn die bereits konfigurierten Aliase vom Schutz ausgenommen werden sollen, können diese deaktiviert werden.
-Der Client wiederholt seine DNS Anfrage aufgrund der abgelaufenen TTL
-Das es für den Angriffes viel zu schwierig wäre den IP Kreis seiner Opfer zu erraten versucht er mit bekannten CNames zu arbeiten( v.B. Fritz.box // speed.port / ldap.tcp.local)
-Diesmal Antwortet der Angreifer DNS mit einem CName z.B. mein.router
-Der CName wird nun mit der IP des Routers aufgelöst.
-Für den Client liegt Attacker.ru nun auf der IP des Routers
-Es könnten nun Skripte in Richtung der Ziels ausgeführt werden.
-==DNS Rebinding Prevention==
-== Funktionsweise ==
-Die DNS Rebinding Prevention block alle DNS Antworten die auf eine private IP aufgelöst werden soll.
-In Werkseinstellung werden alle private IP Adresse auch Klasse A, B und C geblockt.
-Dies führt natürlich dazu das die interne DNS Auflösung ebenfalls nicht mehr funktioniert.
-Daher ist es möglich Zone/Objekte zu "Whitelisten". Wobei die Zone nicht nur gewhitelisted wird, der Bereich ist ebenfalls geschützt und kann nur mit dem zugehörigen IP / IP Bereich aufgelöst werden.